SELinux,Security Enhanced Linux 的縮寫,也就是安全強化的 Linux,旨在增強傳統 Linux 作業系統的安全性,解決傳統 Linux 系統中自主通路控制(DAC)系統中的各種權限問題(如 root 權限過高等)。
傳統的 Linux 系統安全,采用的是 DAC(自主通路控制方式),而 SELinux 是部署在 Linux 系統中的安全增強功能子產品,它通過對程序和檔案資源采用 MAC(強制通路控制方式)為 Linux 系統提供了改進的安全性。
SELinux 的 MAC 并不會完全取代 DAC,恰恰相反,對于 Linux 系統安全來說,它是一個額外的安全層,換句話說,當使用 SELinux 時,DAC 仍然被使用,且會首先被使用,如果允許通路,再使用 SELinux 政策;反之,如果 DAC 規則拒絕通路,則根本無需使用 SELinux 政策。
使用SELinux的好處:
它使用的是 MAC 控制方式,這被認為是最強的通路控制方式;
它賦予了主體(使用者或程序)最小的通路特權,這也就意味着,每個主體僅被賦予了完成相關任務所必須的一組有限的權限。通過賦予最小通路特權,可以防止主體對其他使用者或程序産生不利的影響;
SELinux 管理過程中,每個程序都有自己的運作區域(稱為域),各程序僅運作在自己的域内,無法通路其他程序和檔案,除非被授予了特殊權限。
SELinux 可以調整到 Permissive 模式,此模式允許檢視在系統上執行 SELinux 後所産生的印象。在 Permissive 模式中,SELinux 仍然會記錄它所認為的安全漏洞,但并不會阻止它們。
參考:伺服器如何開啟或關閉SELinux
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)